When do you need to notify a data breach?
Kas teie töödeldavad isikuandmed on kadunud, varastatud või kahjustatud?
Is the processing likely to result in high risks?
Do I need to carry out a DPIA?
Jah, peate tegema andmekaitsealase mõjuhinnangu
Any high risks remaining after the DPIA?
Do I need to carry out a DPIA?
No personal data breach has occurred.
Consult your Data Protection Authority
You don’t need to notify the data protection authority or individuals.
You need to document all data breaches in a record.
Andmete töötlemise rikkumisel võib olla kahjulik mõju teie organisatsioonile. Alates rahalisest kahjust kuni trahvideni, klientide usalduse vähenemiseni võib andmetega seotud rikkumiste mõju olla suur. Seepärast on oluline rakendada küberturvalisuse häid tavasid ja põhimõtteid, et ennetada turvaintsidente. Sellest hoolimata võib juhtuda, et teil on andmetega seotud rikkumine, millest peate võib-olla teavitama oma vastavat andmekaitseasutust (AKI) või teavitama mõjutatud isikuid.
Mis on isikuandmetega seotud rikkumine
Isikuandmetega seotud rikkumine on „turvanõuete rikkumine, mis toob kaasa isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu“.
Organisatsioonid peaksid olema teadlikud, et isikuandmetega seotud rikkumine võib hõlmata palju enamat kui lihtsalt isikuandmete „kaotamine“. See hõlmab isikuandmete konfidentsiaalsust, terviklust või kättesaadavust mõjutavaid intsidente. Oluline on see, et isikuandmetega seotud rikkumised hõlmavad turvaintsidente, mis on põhjustatud nii õnnetustest (nt e-posti saatmine valele saajale, kliendiandmeid sisaldava mälupulga kaotamine või meditsiiniliste andmete kogemata kustutamine, mille varundamine ei ole kättesaadav) kui ka tahtlike toimingutega (nt andmepüügirünnakud kliendiandmetele juurdepääsu saamiseks).
Teisisõnu hõlmab see olukordi, kus keegi pääseb ligi isikuandmetele või edastab need ilma nõuetekohase loata või kui isikuandmed on muudetud kättesaamatuks lunavara krüptimise või juhusliku kaotsimineku või hävitamise teel. Kuigi kõik isikuandmetega seotud rikkumised on turvaintsidendid, ei ole kõik turvaintsidendid tingimata isikuandmetega seotud rikkumised (kuna konkreetse turvaintsidendiga ei pruugi olla seotud isikuandmeid).
Loe lähemalt
Vastutavate töötlejate kohustused
Kui teie väike ja keskmise suurusega ettevõte (VKE) tegutseb vastutava töötlejana, on andmete rikkumise puhul kolm peamist põhimõtet
- isikuandmetega seotud rikkumiste dokumenteerimine
- asjaomase andmekaitseasutuse teavitamine isikuandmetega seotud rikkumisest 72 tunni jooksul, välja arvatud juhul, kui see ei kujuta endast tõenäoliselt ohtu üksikisikutele; ja
- sellisest rikkumisest teatamine üksikisikutele põhjendamatu viivituseta, kui rikkumine kujutab endast tõenäoliselt suurt ohtu üksikisikutele.
On äärmiselt oluline, et vastutavad töötlejad mõistaksid neid kohustusi ja täidaksid neid ning rakendaksid eelnevalt asjakohaseid menetlusi, mis võimaldavad neil objektiivselt ja õigeaegselt kindlaks teha, kas mõni eespool nimetatud teatistest on vajalik.
Igal juhul peab vastutav töötleja kõikide rikkumiste puhul – isegi nende rikkumiste puhul, millest ei ole teavitatud andmekaitseasutust, kuna on hinnatud, et need ei põhjusta ohtu – registreerima vähemalt rikkumise põhiandmed, hinnangu rikkumise kohta, selle mõju ja reageerimiseks võetud meetmed, nagu on nõutud isikuandmete kaitse üldmääruse artikli 33 lõikes 5.
Mida teha ja kuidas tegutseda?
Asjaomasele andmekaitseasutusele andmete rikkumisest teatamine
Isikuandmete kaitse üldmääruse artikli 33 lõike 1 kohaselt tuleks asjaomast andmekaitseasutust teavitada kõigist isikuandmetega seotud rikkumistest, välja arvatud need, mis tõenäoliselt ei kujuta endast ohtu üksikisikutele. Teavitamise hõlbustamiseks on andmekaitseasutused rakendanud menetlusi või veebipõhiseid vorme, mis juhendavad teid samm-sammult, et tagada kogu nõutud teabe esitamine.
Kui rikkumine toimub piiriülese töötlemise ja teavitamise kontekstis, peab vastutav töötleja, kui ta on asutatud EMPs, teavitama juhtivat andmekaitseasutust. Seega peaks vastutav töötleja oma rikkumistele reageerimise korra koostamisel juba hindama, milline andmekaitseasutus on juhtiv andmekaitseasutus, kellele ta peab teavitama. Kui vastutaval töötlejal on kahtlusi juhtiva andmekaitseasutuse isikus, peaksid nad vähemalt teavitama kohalikku andmekaitseasutust, kus rikkumine aset leidis.
Kui teavitamine on nõutav, tuleb seda teha võimalikult kiiresti ja 72 tunni jooksul pärast rikkumisest teadasaamist. Kui see ei ole võimalik, tuleb viivitust põhjendada. Organisatsiooni tuleks pidada „teadlikuks“, kui on piisavalt kindel, et on toimunud turvaintsident ja see on kahjustanud isikuandmeid.
Selleks et oleks võimalik asjaomasele andmekaitseasutusele näidata, millal ja kuidas nad isikuandmetega seotud rikkumisest teada said, on soovitatav, et kõigil organisatsioonidel oleks isikuandmetega seotud rikkumistega seotud sisemiste protseduuride süsteem, mille abil registreerida, kuidas ja millal nad saavad teada isikuandmetega seotud rikkumistest ning kuidas nad hindasid rikkumisest tulenevat võimalikku ohtu.
Kui kogu asjakohast teavet ei ole võimalik esitada andmekaitseasutusele 72 tunni jooksul, tuleks teade esitada mitmes etapis. Esialgne teatis tuleks esitada ja täiendavat teavet võib esitada järk-järgult.
Samamoodi tuleb isikuandmete kaitse üldmääruse artikli 33 lõike 2 kohaselt juhul, kui teie VKE on andmete volitatud töötleja, kes töötleb isikuandmeid teise organisatsiooni nimel, teavitada vastutavat töötlejat isikuandmetega seotud mis tahes rikkumisest põhjendamatu viivituseta. See on keskse tähtsusega, et võimaldada vastutaval töötlejal täita oma teavitamiskohustusi õigeaegselt. Rikkumisest teatamise nõudeid tuleks täpsustada ka vastutava töötleja ja volitatud töötleja vahelises lepingus, nagu on nõutud isikuandmete kaitse üldmääruse artiklis 28.
Asjaomase andmekaitseasutuse teavitamine isikuandmetega seotud rikkumisest peab olema vähemalt järgmine:
- kirjeldada isikuandmetega seotud rikkumise laadi, sealhulgas võimaluse korral asjaomaste isikute kategooriaid ja ligikaudset arvu ning asjaomaste isikuandmete liike ja ligikaudset arvu;
- teatada andmekaitseametniku või muu kontaktpunkti nimi ja kontaktandmed, kust on võimalik saada lisateavet;
- kirjeldada isikuandmetega seotud rikkumise tõenäolisi tagajärgi; ja
- kirjeldage meetmeid, mida VKE on võtnud või kavatseb võtta isikuandmetega seotud rikkumisega tegelemiseks, sealhulgas vajaduse korral meetmeid rikkumise võimaliku kahjuliku mõju leevendamiseks.
Rikkumisest teatamine puudutatud isikutele
Lisaks tuleb teatavatest andmetega seotud rikkumistest teatada asjatutele isikutele põhjendamatu viivituseta. See on nii juhul, kui isikuandmetega seotud rikkumine toob tõenäoliselt kaasa suure ohu füüsilise isiku õigustele ja vabadustele.
Selle nõude eesmärk on tagada, et mõjutatud isikud saaksid võtta vajalikke ettevaatusabinõusid, kui on esinenud intsidente, mis põhjustavad neile tõenäoliselt suurt ohtu.
Selline teabevahetus üksikisikutele peab toimuma viivitamata ja vajaduse korral tihedas koostöös asjaomase andmekaitseasutusega. Juhtudel, kui on vaja leevendada üksikisikutele avalduvat vahetut ohtu, on vajalik kiire teabevahetus.
On olukordi, kus vastutavatelt töötlejatelt ei nõuta üksikisikute teavitamist, näiteks:
- vastutav töötleja oli andmed krüpteerinud ja krüpteerimisvõtmeid ei rikutud;
- vastutav töötleja on võtnud hilisemaid meetmeid, millega tagatakse, et suur oht üksikisikute õigustele ja vabadustele ei realiseeruks enam;
või
- see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul peab vastutav töötleja siiski tagama üldsusele edastamise või muu sarnase meetme abil, et üksikisikuid teavitatakse võrdselt tõhusalt.
Üksikisikule saadetavas teates tuleks selgelt ja lihtsas keeles kirjeldada isikuandmetega seotud rikkumise laadi ning see peaks sisaldama vähemalt järgmist teavet:
- andmekaitseametniku või muu kontaktpunkti nimi ja kontaktandmed, kust on võimalik saada lisateavet;
- isikuandmetega seotud rikkumise tõenäoliste tagajärgede kirjeldus; ja
- organisatsiooni poolt isikuandmetega seotud rikkumise lahendamiseks võetud või kavandatud meetmete kirjeldus, sealhulgas vajaduse korral meetmed rikkumise võimaliku kahjuliku mõju leevendamiseks.
- Teatises tuleks kirjeldada ka soovitusi asjaomastele isikutele rikkumise võimaliku kahjuliku mõju leevendamiseks.
Vastutavaid töötlejaid ja volitatud töötlejaid julgustatakse eelnevalt kavandama ja kehtestama protsesse, mis võimaldavad rikkumist avastada ja seda viivitamata piirata, hinnata üksikisikutele avalduvat ohtu ning seejärel otsustada, kas pädevat andmekaitseasutust on vaja teavitada ja vajaduse korral teatada rikkumisest asjaomastele isikutele.
Loe lähemalt
Millal peate teatama andmetega seotud rikkumisest?
